Instructiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de CNVM
In M. Of. nr. 118 din 16 februarie 2011 a fost publicat Ordinul presedintelui Comisiei Nationale a Valorilor Mobiliare nr. 10/2011 pentru aprobarea Instructiunii nr. 2/2011 privind auditarea sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de Comisia Nationala a Valorilor Mobiliare.
Din cuprins:
ART. 1
Se aproba Instructiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de Comisia Nationala a Valorilor Mobiliare, prevazuta in anexa care face parte integranta din prezentul ordin.
ART. 2
Instructiunea prevazuta la art. 1 intra in vigoare la data publicarii acesteia si a prezentului ordin in Monitorul Oficial al Romaniei, Partea I, si va fi publicata si in Buletinul Comisiei Nationale a Valorilor Mobiliare si pe site-ul acesteia (www.cnvmr.ro).
ANEXA 1
INSTRUCTIUNEA Nr. 2/2011
privind auditarea sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de Comisia Nationala a Valorilor Mobiliare
CAPITOLUL I
Dispozitii generale
ART. 1
Prezenta instructiune stabileste cerintele minime obligatorii de auditare a sistemelor informatice utilizate de entitatile autorizate, reglementate si supravegheate de Comisia Nationala a Valorilor Mobiliare, denumita in continuare C.N.V.M.
ART. 2
(1) Termenii, abrevierile si expresiile utilizate in prezenta instructiune au semnificatia prevazuta in Legea nr. 297/2004 privind piata de capital, cu modificarile si completarile ulterioare.
(2) In intelesul prezentei instructiuni, termenii si expresiile de mai jos au urmatoarele semnificatii:
1. audit al sistemului informatic – activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic este securizat, mentine integritatea datelor prelucrate si stocate, permite atingerea obiectivelor strategice ale entitatii si utilizarea eficienta a resurselor informationale;
2. auditor IT – persoana fizica care detine un certificat CISA (Certified Information Systems Auditor) eliberat de catre ISACA si care este inscrisa in Registrul public al C.N.V.M.;
3. angajati-cheie – persoane care au autoritatea si responsabilitatea de a planifica, conduce si controla activitatile entitatii, in mod direct sau indirect, incluzand oricare director (executiv sau altfel) al entitatii;
4. atac etic – test al retelei informatice realizat printr-o simulare a unui atac real asupra retelelor, sistemelor si aplicatiilor informatice utilizate de entitatea auditata;
5. certificarea sistemului de management al securitatii informatiei – certificarea implementarii unui sistem de management al securitatii informatiei in conformitate cu cerintele standardului SR EN ISO 27001:2005;
6. date – orice reprezentare a unor fapte, informatii sau concepte intr-o forma care poate fi prelucrata printr-un sistem informatic, incluzandu-se si orice program informatic care poate determina realizarea unei functii similare de catre un sistem informatic;
7. declaratie de aplicabilitate – declaratie care defineste politica de securitate a sistemului informatic al entitatii si care va reflecta procesul de evaluare a riscurilor pe care entitatea si le-a asumat;
8. EA MLA – acord intre membrii EA (Cooperare europeana pentru acreditare) pentru a recunoaste echivalenta si increderea acestor certificate de acreditare, inspectiile, certificatele de calibrare si rapoartele de testare in cadrul Europei;
9. hardware – ansamblul elementelor fizice si tehnice cu ajutorul carora datele se pot culege, verifica, prelucra, transmite, afisa si stoca, inclusiv suporturile de memorare (dispozitivele de stocare) a datelor, precum si echipamentele de calculator auxiliare;
10. SR EN ISO/IEC 27001:2005 – standard care stabileste cerintele pentru un sistem de management al securitatii informatiei. Ajuta la identificarea, managementul si minimizarea amenintarilor care afecteaza de obicei informatia;
11. ISACA (Asociatia de Audit si Control al Sistemelor Informatice/Information Systems Audit and Control Association) – organizatie profesionala internationala care grupeaza si certifica specialisti in domeniul auditului sistemelor informationale si care are ca scop asigurarea guvernantei, controlului, securitatii sistemului informatic, precum si a auditului profesional;
12. prelucrare automata a datelor – proces prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
13. program informatic – ansamblu de instructiuni care poate fi executat de un sistem informatic in vederea obtinerii unui rezultat determinat;
14. raport de audit – instrumentul prin care se comunica scopul auditarii, obiectivele urmarite, normele/standardele aplicate, perioada acoperita, natura, intinderea, procedurile, constatarile si concluziile auditului, precum si orice rezerva pe care auditorul IT o are asupra sistemului informatic auditat;
15. resurse informationale – totalitatea informatiilor si a documentelor, conform cerintelor stabilite de legislatia in domeniu;
16. sistem informatic – orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor, cu ajutorul unui program informatic;
17. standard de audit ISACA – cerinta ISACA pentru organizarea, desfasurarea si raportarea auditului sistemului informatic;
18. software – toata gama de produse program, care cuprinde cel putin urmatoarele elemente: sisteme de operare, drivere si programe;
19. set de masuri de siguranta – totalitatea masurilor tehnice si operationale care sunt luate de catre o entitate pentru utilizarea in conditii de siguranta a sistemului informatic;
20. SMSI (sistem de management al securitatii informatiei) – sistem de management bazat pe o abordare a riscurilor la care organizatia este expusa, care are scopul de a stabili, implementa, opera, monitoriza, revizui, mentine si imbunatati securitatea informatiei.
ART. 3
(1) Prezenta instructiune se aplica urmatoarelor categorii de entitati autorizate, reglementate si supravegheate de C.N.V.M., denumite in continuare entitati:
a) organisme de plasament colectiv care se autoadministreaza;
b) depozitari centrali, case de compensare/contraparti centrale;
c) societati de servicii de investitii financiare (S.S.I.F.) incadrate la art. 7 alin. (1) lit. a) si b) din Legea nr. 297/2004, cu modificarile si completarile ulterioare, inclusiv sucursale ale firmelor de investitii din alte state membre;
d) S.S.I.F. incadrate la art. 7 alin. (1) lit. c) din Legea nr. 297/2004, cu modificarile si completarile ulterioare, inclusiv sucursale ale firmelor de investitii din alte state membre;
e) traderi;
f) societati de administrare a investitiilor, inclusiv sucursale ale societatilor de administrare a investitiilor din alte state membre;
g) fondul de compensare a investitorilor;
h) operatori de piata/operatori de sistem;
i) alte entitati nominalizate de C.N.V.M. prin acte normative.
(2) In cazul institutiilor de credit autorizate de Banca Nationala a Romaniei care presteaza servicii de investitii financiare pe piata de capital sunt aplicabile atat reglementarile emise de aceasta in domeniul auditarii sistemelor informatice, cat si prevederile cap. VI din prezenta instructiune.
CAPITOLUL II
Obligatiile entitatilor
ART. 4
(1) Entitatile prevazute la art. 3 alin. (1) lit. c) care utilizeaza sisteme informatice de prelucrare automata a datelor au obligatia sa elaboreze un set de masuri de siguranta, in concordanta cu legislatia in domeniu, ce va include cel putin urmatoarele elemente:
A. masuri organizatorice:
1. definirea politicii de securitate;
2. definirea obiectivelor de securitate;
3. desemnarea responsabilului cu securitatea informatiei;
4. desemnarea in cadrul entitatii a personalului responsabil cu:
a) interventia in caz de incidente;
b) mentenanta aplicatiilor informatice si a echipamentelor;
c) recuperarea datelor in caz de dezastre;
d) formularea propunerilor privind modificarea regulamentelor interioare si a procedurilor de lucru astfel incat sa se asigure indeplinirea obiectivelor de securitate;
B. politica de securitate:
1. sistemele informatice care ofera intermediarilor si clientilor lor accesul la piete trebuie sa fie amplasate in spatii special amenajate, care sa asigure integritatea, securitatea si disponibilitatea lor in orice moment;
2. operatorii sistemelor informatice trebuie sa aiba disponibil personal tehnic calificat care sa opereze si sa supravegheze aceste sisteme;
3. locatia acestor sisteme informatice trebuie sa asigure redundanta:
a) circuitelor de alimentare cu curent electric;
b) retelelor de conectare la piete;
c) hardware-ului suport pe care aplicatiile ruleaza;
d) bazelor de date aferente folosite pentru stocarea datelor;
C. manual de securitate:
1. in structura sa, manualul de securitate va cuprinde cel putin capitolele:
a) prezentarea entitatii;
b) prezentarea infrastructurii hardware si software;
c) politica de securitate;
d) obiectivele de securitate;
e) managementul infrastructurilor hardware si software;
f) managementul resurselor umane alocate;
g) comunicarea si controlul accesului in sistemul informatic;
h) managementul incidentelor;
i) managementul riscului si recuperarea datelor in caz de dezastru;
j) continuitatea afacerii;
k) inregistrari si controlul inregistrarilor;
2. toate documentele referitoare la procedurile de sistem vor face parte integranta din manualul de securitate;
D. proceduri generale de sistem;
E. plan de combatere a riscurilor. Riscurile care se vor lua in considerare in elaborarea planului sunt din urmatoarele categorii:
1. incalcarea legilor, reglementarilor si contractelor;
2. daune fizice;
3. impiedicarea realizarii sarcinilor la parametrii de performanta;
4. efect negativ asupra relatiilor cu tertii, indiferent daca acestia sunt clienti sau alte persoane cu care entitatea interactioneaza;
5. consecinte financiare;
F. declaratie de aplicabilitate.
(2) Entitatile prevazute la alin. (1) au obligatia de a asigura permanent instruirea personalului angajat, inclusiv a angajatilor-cheie, in vederea cunoasterii obligatiilor ce decurg din setul de masuri prevazut la alin. (1).
ART. 5
(1) Sistemele informatice utilizate de entitatile prevazute la art. 3 alin. (1) lit. c) trebuie sa indeplineasca cel putin urmatoarele cerinte:
1. cerinte referitoare la respectarea reglementarilor pietei de capital:
a) sa asigure integritatea, confidentialitatea, securitatea, disponibilitatea datelor in orice circumstante, precum si prelucrarea acestora in conformitate cu reglementarile pietei de capital, luand in considerare posibilitatea actualizarii acestora, in functie de modificarile intervenite in legislatia pietei de capital. Sistemele informatice care ofera intermediarilor si clientilor lor accesul la piete trebuie sa asigure cel putin:
1. integritatea si securitatea datelor trimise la si receptionate de la piata in sisteme de baze de date care functioneaza in regim de redundanta si care sa poata fi certificate in orice moment;
2. securitatea si integritatea datelor procesate prin folosirea unei scheme de encriptare, atat asupra datelor trimise catre piete, cat si asupra datelor receptionate de la piete;
3. jurnalizarea in timp real a informatiei despre ordinele plasate pe piata, a starii acestor ordine, respectiv a modificarilor care se aduc acestor ordine in decursul existentei lor de catre clientii ce utilizeaza aceste sisteme informatice;
b) sa asigure respectarea conditiilor tehnice si operationale aferente utilizarii conturilor globale, efectuarii operatiunilor de imprumut de valori mobiliare si de constituire a garantiilor asociate acestora prevazute de reglementarile C.N.V.M.;
c) sa asigure posibilitatea imprimarii documentelor pe format hartie clare, inteligibile si complete reprezentand rapoartele precizate in reglementarile emise de C.N.V.M.;
d) sa asigure respectarea continutului de informatii prevazut in formularele de raportare corespunzatoare entitatilor, asa cum sunt prevazute in legislatia pietei de capital, precum si alte raportari solicitate prin reglementarile pietei de capital;
e) sa asigure in orice moment reconstituirea rapoartelor si informatiilor supuse verificarii. Utilizatorii acestor sisteme informatice trebuie sa asigure pastrarea datelor inregistrate si jurnalizate de catre sistemele de tranzactionare si back-office intr-un sistem de tip baza de date de stocare pentru o perioada de timp in conformitate cu legislatia aplicabila in vigoare. Acest sistem de pastrare a datelor trebuie sa asigure posibilitatea ca aceste date sa poata fi transmise sau puse la dispozitia C.N.V.M. la cerere;
f) sa asigure elemente de identificare a datelor supuse prelucrarii si verificarii. Sistemele informatice trebuie sa asigure identificarea exacta a timpului la care inregistrarile au fost efectuate si identificarea utilizatorilor sistemului la acel moment;
g) sa asigure confidentialitatea si protectia informatiilor si a programelor prin parole, coduri de identificare pentru accesul la informatii, precum si realizarea de copii de siguranta pentru programe si informatii detinute;
h) sa asigure la sediul entitatii, pe o perioada nedeterminata, manuale de utilizare complete si actualizate ale programelor informationale utilizate;
i) sa asigure verificarea prin teste de control a programelor informatice utilizate.
Entitatile, ca utilizatori ai sistemelor informatice, trebuie sa procedeze regulat la testarea functionalitatilor noi introduse pentru indeplinirea cerintelor pietelor. Aceasta practica trebuie sa fie formalizata prin alcatuirea de planuri de testare;
j) sa asigure arhivarea pe suport digital extern a informatiilor, a datelor introduse, a situatiilor financiare sau a altor documente, cu posibilitatea de reintegrare in sistem a datelor arhivate;
k) sa asigure respectarea oricaror altor cerinte care rezulta din dispozitiile legale in vigoare, aplicabile in functie de obiectul de activitate al entitatii;
2. cerinte generale privind programele informatice utilizate in activitatea financiara si contabila, cuprinse in cap. G si H din anexa nr. 1 la Ordinul ministrului economiei si finantelor nr. 3.512/2008 privind documentele financiar-contabile, cu completarile ulterioare.
(2) Masurile tehnice aplicate de entitati pentru indeplinirea cerintelor prevazute la alin. (1) trebuie sa fie in concordanta cu progresul tehnologic in domeniu.
(3) In procesul de supraveghere, C.N.V.M. poate solicita in scris entitatii auditate orice informatii sau documente relevante, aceasta avand obligatia de a se conforma.
(4) C.N.V.M. asigura confidentialitatea informatiilor primite, in conformitate cu prevederile legislatiei pietei de capital, cu exceptiile prevazute de lege.
CAPITOLUL III
Auditarea sistemului informatic
ART. 6
(1) Entitatile prevazute la art. 3 alin. (1) lit. c) au obligatia de a audita sistemul informatic utilizat. Sistemul informatic al entitatii va fi auditat de un auditor IT.
(2) Auditarea se efectueaza in baza unui contract incheiat intre auditorul IT si entitatea care a solicitat auditarea.
(3) In situatia in care auditul sistemului informatic este efectuat de o echipa formata din mai multi auditori, acestia raspund solidar pentru asigurarea derularii procesului de audit in conformitate cu legislatia in domeniu.
(4) Auditorii IT sunt raspunzatori pentru conformarea cu cerintele necesare efectuarii auditului sistemului informatic.
CAPITOLUL IV
Obligatiile auditorilor IT
ART. 7
(1) Auditorii IT care auditeaza sistemele informatice utilizate de entitatile prevazute la art. 3 alin. (1) lit. c) au obligatia de a se inscrie in Registrul public al C.N.V.M.
(2) In vederea inscrierii in Registrul public al C.N.V.M., auditorul IT trebuie sa depuna la C.N.V.M. o cerere care sa cuprinda urmatoarele informatii si documente anexate, dupa caz:
a) numele si prenumele complete si orice alt nume folosit;
b) locul si data nasterii;
c) codul numeric personal sau echivalentul acestuia, pentru persoanele straine;
d) seria si numarul documentului de identitate;
e) data eliberarii documentului de identitate si emitentul;
f) domiciliul stabil/resedinta (adresa completa – strada, numar, bloc, scara, etaj, apartament, oras, judet/sector, cod postal, dupa caz);
g) cetatenia/nationalitatea si tara de origine;
h) adresa unde isi desfasoara activitatea;
i) telefon/fax, e-mail, adresa paginii de internet, dupa caz;
j) certificatul de membru ISACA in copie legalizata, precum si dovada de membru activ emisa de catre ISACA;
k) curriculum vitae, datat si semnat, cu prezentarea experientei profesionale;
l) certificatul de auditor al sistemelor informatice (CISA – Certified Information Systems Auditor) in copie legalizata, precum si dovada faptului ca certificarea este activa;
m) contract de asigurare de raspundere profesionala de minimum 100.000 euro, in copie;
n) certificate de cazier judiciar si fiscal, in original sau copie legalizata, aflate in interiorul termenului de valabilitate;
o) dovada achitarii tarifului de inscriere in Registrul public al C.N.V.M., in copie.
(3) Radierea din Registrul public al C.N.V.M. a auditorilor IT se realizeaza in urmatoarele conditii, dupa caz:
a) la cerere;
b) la decesul auditorului IT;
c) din alte cauze prevazute de lege.
ART. 8
(1) Auditorul IT are obligatia de a intocmi la incheierea auditarii prevazute la art. 6 un raport de audit care trebuie sa cuprinda cel putin urmatoarele elemente:
1. titlul raportului si denumirea entitatii auditate (beneficiarul raportului);
2. datele de identificare ale auditorului IT (cel putin numele, numarul certificatului CISA, telefon, fax, e-mail si adresa unde isi desfasoara activitatea);
3. semnatura auditorului;
4. destinatarii raportului si restrictiile privind distributia raportului;
5. locul auditarii;
6. data raportului;
7. perioada acoperita de audit;
8. descrierea ariei auditului, incluzand si:
a) descrierea entitatii auditate;
b) descrierea sistemelor auditate;
c) masurile organizatorice: politicile aplicabile si procedurile implementate;
d) identificarea aplicatiilor utilizate si persoanele implicate;
e) componentele sistemelor informatice utilizate: aplicatie/server/sistem de operare/detalii configurare/locatie/administrare;
f) analiza riscurilor implicate de activitate, a posibilelor vulnerabilitati ale sistemului informatic auditat si a masurilor de reducere a riscurilor asociate (controale);
g) descrierea modului prin care s-a efectuat atacul etic si rezultatul obtinut;
9. opinia detaliata a auditorului privind indeplinirea cerintelor prevazute la art. 4 si 5. (Pentru fiecare cerinta, cu mentiunea: DA/NU, precum si motivatia);
10. afirmatia de conformitate (opinia pozitiva), de conformare partiala/totala referitoare la obiectivele auditate, indicand punctele care trebuie imbunatatite (opinia cu rezerve/calificata), sau de neindeplinire a obiectivelor auditate (opinia negativa);
11. anexa distincta continand constatarile, riscurile asociate, recomandarile pentru actiuni corective si raspunsul managementului entitatii auditate (pentru fiecare constatare din raport). Anexa va fi semnata de un reprezentant al conducerii executive a entitatii auditate;
12. declaratia auditorului ca auditul a fost efectuat in conformitate cu standardele de audit ISACA;
13. declaratie a auditorului pe propria raspundere, sub semnatura olografa, ca nu se afla in relatii cu entitatea auditata sau cu angajatii-cheie ori cu conducerea entitatii, care ar putea sa ii afecteze independenta sau obiectivitatea;
14. masurile corective recomandate;
15. raspunsul managementului cu privire la masurile corective recomandate, inclusiv termenul de aplicare;
16. data urmatorului audit;
17. alte observatii.
(2) Raportul prevazut la alin. (1) va fi intocmit in conformitate cu standardele ISACA – S2 si S7 sau cu standardul ISAE 3000 si ghidul ISACA – G20 pentru verificari de tip audit.
ART. 9
Auditorul IT va notifica la C.N.V.M., in regim de urgenta, fara sa vina in contradictie cu dispozitiile din Codul privind conduita etica, profesionala si cu Standardele de audit ISACA, orice fapt sau act in legatura cu sistemul informatic utilizat de entitate si care:
a) constituie o incalcare semnificativa a actelor normative ce reglementeaza conditiile de autorizare si functionare a entitatii auditate;
b) este de natura sa afecteze continuitatea activitatii entitatii reglementate auditate;
c) poate conduce la o opinie de audit cu rezerve, la imposibilitatea exprimarii unei opinii profesionale sau la o opinie negativa.
ART. 10
Auditorul IT , la solicitarea scrisa a C.N.V.M., are obligatia:
a) sa prezinte C.N.V.M. orice raport sau document ce a fost adus la cunostinta entitatii auditate;
b) sa prezinte C.N.V.M. o declaratie care sa indice motivele de incetare a contractului de audit, indiferent de natura acestora;
c) sa prezinte C.N.V.M. orice alte informatii sau documente solicitate.
CAPITOLUL V
Cerinte de raportare
ART. 11
(1) Entitatile prevazute la art. 3 alin. (1) lit. c) au obligatia auditarii sistemului informatic cel putin anual.
(2) Raportul de audit mentionat la art. 8 va fi transmis catre C.N.V.M. in termen de 90 de zile de la incheierea perioadei de auditare a sistemului informatic si va cuprinde cel putin informatiile prevazute la art. 8 alin. (1) pct. 1 – 7, pct. 8 lit. a) – d), pct. 9, 10, 12 – 17 si art. 8 alin. (2)
(3) Pentru entitatile prevazute la art. 3 alin. (1) lit. i), C.N.V.M. va hotari prin act individual termenul de intocmire a raportului de audit si, dupa caz, obtinerea certificarii SMSI.
(4) Raportul de audit prevazut la alin. (2) se transmite la C.N.V.M. de catre entitatea auditata. Entitatea auditata, prin reprezentantul legal, depune odata cu raportul o declaratie pe propria raspundere prin care confirma faptul ca a remediat situatiile vulnerabile evidentiate in sistemul informatic utilizat, avand in vedere recomandarea facuta de auditorul IT, dupa caz, si inclusa in raportul de audit.
(5) In cazul in care la nivelul entitatii se adopta hotararea unor schimbari majore in structura sistemelor informatice, cum ar fi:
a) schimbarea integrala a unor aplicatii informatice folosite in contabilitatea entitatii;
b) schimbarea procedurilor sau a fluxurilor de prelucrare a datelor contabile;
c) schimbarea procedurilor de arhivare si/sau de restaurare a datelor contabile;
d) schimbarea unuia dintre serverele care ruleaza aplicatiile de contabilitate, se va realiza, in termen de 60 de zile, un raport de audit al sistemelor informatice care va cuprinde o analiza a impactului si a riscurilor induse de schimbarile care se introduc. Raportul de audit va fi transmis la C.N.V.M. in termen de 5 zile de la finalizare.
(6) Rapoartele de audit prevazute in prezenta instructiune vor fi semnate si stampilate de catre persoanele autorizate in acest sens si se vor depune la C.N.V.M. intr-un exemplar original in format hartie, precum si in format electronic.
CAPITOLUL VI
Certificarea SMSI
ART. 12
(1) Entitatile prevazute la art. 3 alin. (1) lit. a), b), d) – h) si alin. (2) au obligatia sa obtina certificarea SMSI (in baza implementarii standardelor SR EN ISO/IEC 27001:2005) emisa de o organizatie nationala sau internationala acreditata de un semnatar al acordului EA MLA.
(2) Componenta de audit a procesului de certificare SMSI se va realiza de catre un ISMS Lead Auditor.
(3) Entitatile prevazute la alin. (1) au obligatia sa isi revizuiasca anual SMSI obtinut.
(4) Entitatile prevazute la alin. (1) au obligatia sa isi reinnoiasca certificatul SMSI obtinut dupa fiecare perioada de 3 ani.
(5) Dispozitiile prevazute la alin. (1) se aplica si in cazul sistemelor de tranzactionare administrate de un operator de piata/operator de sistem.
ART. 13
(1) Entitatile prevazute la art. 12 alin. (1) au obligatia de a depune la C.N.V.M. cel putin urmatoarele documente:
a) certificatul SMSI, in copie legalizata;
b) datele de identificare ale organismului de certificare acreditat [adresa completa, codul unic de inregistrare (CUI) sau echivalentul acestuia pentru organismele internationale; numar de telefon, fax, e-mail, persoane de contact];
c) datele de identificare ale organismului care a acreditat organismul de certificare (adresa completa, codul unic de inregistrare (CUI) sau echivalentul acestuia pentru organismele internationale; numar de telefon, fax, e-mail, persoane de contact);
d) domeniul acreditat;
e) dovada revizuirii SMSI, dupa caz;
f) dovada reinnoirii certificarii SMSI, dupa caz.
(2) Documentele prevazute la alin. (1) se depun la C.N.V.M. in termen de 10 zile lucratoare de la data primirii certificatului SMSI.
(3) In cazul revizuirii sau reinnoirii certificatului SMSI entitatile prevazute la art. 12 alin. (1) vor depune la C.N.V.M. documentele prevazute la alin. (1) in termen de 5 zile lucratoare de la primirea documentelor relevante.
CAPITOLUL VII
Sanctiuni
ART. 14
Nerespectarea prevederilor prezentei instructiuni de catre entitatile prevazute la art. 3 se sanctioneaza in conformitate cu prevederile titlului X “Raspunderi si sanctiuni” din Legea nr. 297/2004 privind piata de capital, cu modificarile si completarile ulterioare.
ART. 15
In cazul constatarii unor deficiente semnificative in activitatea profesionala desfasurata de auditorul IT in legatura cu auditarea sistemelor informatice ale unei entitati, C.N.V.M. va sesiza organele competente, respectiv ISACA, in vederea adoptarii unor masuri corective si, dupa caz, disciplinare corespunzatoare, potrivit reglementarilor in vigoare.
CAPITOLUL VIII
Dispozitii tranzitorii si finale
ART. 16
(1) Pentru anul 2011, entitatile prevazute la art. 3 pot opta pentru obtinerea certificarii SMSI conform prevederilor cap. VI sau pentru auditarea sistemelor informatice conform cap. II – V.
(2) In termen de maximum 30 de zile de la intrarea in vigoare a prezentei instructiuni, entitatile prevazute la art. 3 au obligatia de a transmite la C.N.V.M. o declaratie pe propria raspundere a reprezentantului legal referitoare la modul de exercitare a optiunii prevazute la alin. (1).
(3) Entitatile prevazute la art. 3 care aplica prevederile cap. II – V au obligatia transmiterii la C.N.V.M. a primului raport de audit in termen de 9 luni de la intrarea in vigoare a prezentei instructiuni.
(4) Entitatile prevazute la art. 3 care aplica prevederile cap. VI au obligatia transmiterii la C.N.V.M. a documentelor prevazute la art. 13 in termen de 12 luni de la intrarea in vigoare a prezentei instructiuni.
ART. 17
Obligatia prevazuta la art. 12 se aplica incepand cu 1 ianuarie 2012.
ART. 18
Instructiunea si ordinul de aprobare se publica in Monitorul Oficial al Romaniei, Partea I, in Buletinul C.N.V.M. si pe pagina de internet a C.N.V.M.
